sg sg-security-measures it_security_operations access_control
まず結論
SSPMとは、SaaSアプリケーションの設定や権限を継続的に確認し、設定ミスや過剰権限などのリスクを管理する仕組みです。
SSPMは、SaaS Security Posture Management の略です。
SG試験では、SSPMは「SaaSを安全に使うために、設定・権限・利用状態を確認する仕組み」として押さえると分かりやすいです。
選択肢では、次のような表現に注意します。
- 「SSPMを導入すれば、SaaSの利用者管理は不要になる」
- 「SSPMはIaaSのネットワーク設定を主に管理する仕組みである」
- 「SSPMはマルウェアを駆除するための仕組みである」
このような内容は、SSPMの説明としては不適切です。
SSPMは、SaaSの設定状態を見える化し、リスクのある設定を見つけて是正につなげるための仕組みです。
直感的な説明
SSPMは、会社で使っているSaaSの「設定見回り係」と考えると分かりやすいです。
たとえば、会社でグループウェア、ファイル共有、チャット、CRMなど、いくつものSaaSを使っているとします。
それぞれのSaaSでは、次のような設定が必要になります。
- 誰がログインできるか
- 誰が管理者権限を持つか
- 外部共有を許可するか
- 多要素認証を使うか
- 退職者アカウントが残っていないか
- 外部アプリ連携を許可するか
これを各サービスごとに手作業で確認するのは大変です。
設定項目も多く、サービスごとに画面やルールも違います。
そこでSSPMを使うと、複数のSaaSの設定状態を継続的に確認し、危険な設定を見つけやすくなります。
ただし、SSPMは「見つける・管理しやすくする」仕組みです。
検知された内容を確認し、設定を直す運用がないと、リスクは残ったままになります。
定義・仕組み
SSPMは、SaaSアプリケーションのセキュリティ設定、権限、利用状態などを継続的に監視・評価し、リスクのある状態を検知する仕組みです。
米国CMSの解説でも、SSPMはSaaSアプリケーションが使われる組織にとって重要なセキュリティ実践として説明されています。
参考: CMS|SaaS Security Posture Management
SSPMの基本的な流れは、次のように整理できます。
| 流れ | 内容 |
|---|---|
| 1. SaaSを把握する | 利用しているSaaSアプリケーションを確認する |
| 2. 設定を確認する | 認証、権限、共有、外部連携などを確認する |
| 3. 基準と照合する | 社内ルールやセキュリティ基準と比べる |
| 4. リスクを検知する | 過剰権限、未使用アカウント、外部共有などを見つける |
| 5. 是正する | 権限変更、設定見直し、アカウント削除などを行う |
SSPMで確認しやすい項目には、次のようなものがあります。
- 管理者権限の過剰付与
- 多要素認証の未設定
- 外部共有の許可設定
- 退職者や未使用アカウントの残存
- 外部アプリとの連携設定
- SaaSごとのセキュリティ設定のばらつき
- 社内ルールに合わない設定
SG試験では、SSPMを「SaaSそのものを提供するサービス」と考えないことが大切です。
SSPMは、すでに利用しているSaaSの設定や権限を確認し、リスクを管理するための仕組みです。
どんな場面で使う?
SSPMは、複数のSaaSを業務で利用している組織で使われます。
代表的な場面は次のとおりです。
- グループウェアやファイル共有サービスを利用している
- チャット、Web会議、CRMなど複数のSaaSを使っている
- SaaSごとの管理者権限を把握したい
- 外部共有や外部連携の設定を確認したい
- 退職者アカウントや未使用アカウントを見つけたい
- SaaSの設定が社内ルールに合っているか確認したい
たとえば、ある部署が便利なSaaSを導入し、外部共有を広く許可していたとします。
この状態に気づかないまま使い続けると、機密情報が意図せず外部へ共有される可能性があります。
SSPMを使うと、こうしたSaaSの設定や利用状態を可視化し、リスクを早めに発見しやすくなります。
SG試験では、SaaSでも利用者側の設定責任は残るという考え方が重要です。
SaaSは完成したサービスを使う形ですが、誰に権限を与えるか、外部共有を許可するか、退職者アカウントを削除するかは、利用者側の運用に関わります。
よくある誤解・混同
誤解1:SSPMを導入すれば、SaaSの設定管理は不要になる
これは誤りです。
SSPMは、SaaSの設定ミスやリスクを見つけやすくする仕組みです。
検知した内容を確認し、実際に設定を直すのは組織の運用です。
選択肢で「SSPMを導入すれば、利用者側の管理は不要」と書かれていたら注意します。
誤解2:SSPMとCSPMは同じ意味である
SSPMとCSPMは、どちらもセキュリティ態勢を管理する考え方ですが、主な対象が違います。
| 用語 | 主な対象 | 判断基準 |
|---|---|---|
| SSPM | SaaSアプリケーション | SaaSの設定・権限・利用状態を確認する |
| CSPM | IaaS・PaaSなどのクラウド環境 | クラウド基盤や構成の設定を確認する |
| CASB | クラウド利用全体 | 利用状況の可視化や制御を行う |
| 責任共有モデル | 事業者と利用者の責任分担 | 誰がどこを守るかを整理する |
SG試験では、次のように切り分けます。
- SaaSの設定ミスや権限管理なら SSPM
- IaaSやPaaSの設定ミス検知なら CSPM
- クラウド利用の可視化・制御なら CASB
- 責任範囲の整理なら 責任共有モデル
誤解3:SSPMはマルウェア対策である
SSPMは、マルウェアを駆除する仕組みではありません。
主な対象は、SaaSの設定、権限、外部共有、アカウント、外部連携などです。
マルウェア対策は、不正なプログラムの検知・隔離・駆除が中心です。
SSPMは、SaaSを使うときの設定不備や運用上のリスクを見つける仕組みです。
SG試験では、何を対象にしているかで切り分けると判断しやすくなります。
まとめ(試験直前用)
SSPMは、SaaSアプリケーションの設定や権限を継続的に確認し、設定ミスやリスクを管理する仕組みです。
試験直前は、次の判断基準を押さえておきます。
- SSPMは、SaaS Security Posture Management の略
- 主な対象は、SaaSアプリケーションの設定・権限・利用状態
- 過剰権限、外部共有、未使用アカウント、多要素認証未設定などを確認する
- CSPMはIaaS・PaaS寄り、SSPMはSaaS寄りで切り分ける
- 検知して終わりではなく、設定変更や権限見直しまで行う
選択肢では、「SaaSの設定や権限を継続的に確認する」という内容ならSSPMを考えます。
SSPMは、SaaSを安全に使うための万能自動修復ツールではなく、設定ミスを見つけ、是正につなげるための管理・検知の仕組みです。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】